Los piratas informáticos de Dark Pink apuntan a instituciones gubernamentales y militares en Asia y Europa

Un nuevo estudio revela que un nuevo grupo de piratas informáticos denominado «Dark Pink» se dirige a organizaciones gubernamentales, militares, religiosas y sin fines de lucro en Asia y Europa con correos electrónicos de phishing.

El objetivo principal del grupo, según un Informe Por Group-IB, es espionaje corporativo, en el que los piratas informáticos roban archivos, datos de voz del micrófono y datos de mensajería de dispositivos infectados.

El grupo fue responsable de al menos siete ataques exitosos entre junio y diciembre de 2022. Sus víctimas incluyeron «objetivos de alto perfil» en Camboya, Indonesia, Malasia, Filipinas, Vietnam y Bosnia y Herzegovina, según los investigadores. Dark Pink también intentó atacar una agencia de desarrollo del gobierno europeo con sede en Vietnam, pero fracasó.

Los investigadores no pudieron atribuir la actividad de Dark Pink a ningún grupo de piratería conocido: utiliza «herramientas personalizadas y algunas tácticas y técnicas rara vez vistas», según el informe.

Dark Pink tiene un enfoque particular en las agencias militares y gubernamentales en Asia y Europa. Intensificó sus ataques a fines del año pasado, apuntando al ejército filipino en septiembre, una rama militar de Malasia en octubre y una agencia del gobierno de Indonesia a principios de diciembre.

Los investigadores detectaron por primera vez el ataque de Dark Pink en junio, cuando los piratas informáticos obtuvieron acceso a la red de una organización religiosa en Vietnam, pero los investigadores creen que el grupo estuvo activo a mediados de 2021.

Cómo atacar tu hogar rosa

En ataques recientes, Dark Pink inicialmente envió correos electrónicos de phishing destinados a objetivos, como hacerse pasar por un solicitante de empleo que solicita una capacitación en relaciones públicas.

Estos correos electrónicos contienen una URL abreviada que enlaza con sitios gratuitos para compartir archivos que alojan archivos maliciosos. Antes de infectar las máquinas de las víctimas, los piratas informáticos subieron archivos maliciosos a GitHub y luego emitieron comandos a la computadora infectada para descargar estos archivos.

Dark Pink usó el mismo GitHub durante la duración de su campaña, lo que indica que operaron sin ser detectados.

Según Group-IB, una de las principales razones del éxito de la operación de este grupo es su arsenal de malware y explosivos personalizados.

Por ejemplo, los piratas informáticos tomaron el control de dos de sus piezas de malware, TelePowerBot y KamiKakaBot, utilizando un bot de Telegram. También usaron Telegram para desviar datos de las víctimas.

Los piratas informáticos dedicados al grupo obtuvieron contraseñas, historial, inicios de sesión y cookies de docenas de navegadores web cuando se iniciaron en las máquinas de las víctimas.

Los actores de amenazas también han escrito un script que les permite transferir su malware a dispositivos USB conectados a los dispositivos comprometidos y propagarlo a través de las redes.

Estas técnicas convierten a Dark Pink en un actor de amenazas «muy sofisticado» que modifica el malware «para garantizar la máxima eficacia» y es bueno para evadir la detección, según Andrey Polovinkin, analista de malware de Group-IB.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *